当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-047968

漏洞标题:虎扑分站存储型xss漏洞

相关厂商:虎扑体育网

漏洞作者: pandas

提交时间:2014-01-06 12:16

修复时间:2014-02-20 12:17

公开时间:2014-02-20 12:17

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-06: 细节已通知厂商并且等待厂商处理中
2014-01-06: 厂商已经确认,细节仅向厂商公开
2014-01-16: 细节向核心白帽子及相关领域专家公开
2014-01-26: 细节向普通白帽子公开
2014-02-05: 细节向实习白帽子公开
2014-02-20: 细节向公众公开

简要描述:

上次提交被审核人员忽略了,不得不说,审核人员还是好样的!
然后短消息通知了虎扑厂商,结果这么多天过去了,厂商依旧未修复,难道是不知道如何修复么?

详细说明:

http://361runner.hupu.com/diarys/ 微日记处未对输入内容进行过滤: <img/src=1 onerror=alert(/pandas/)> 即可弹框,亦可插入盲打语句等,自由发挥。
上次审核人员说能不能收到cookie再利用,特地验证了下,确实是可以登录的,详见下图(希望下图被测试的这个帐号主人不混乌云)

漏洞证明:

很久之前插的代码,现在还在源源不断的收到cookie,

aaa.jpg


目测虎扑也是SSO单点登录的,用所盗取的cookie可以登录bbs以及发帖,发心情,下面是用收到的cookie在啊D中伪造登录的截图。

ccc.jpg


可以访问个人空间,bbs等

bbb.jpg


给他发了个test for fun by pandas!

修复方案:

现在首页被人插坏了,建议厂商直接去数据库删除最近留言的那段xss代码即可。

版权声明:转载请注明来源 pandas@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-01-06 13:15

厂商回复:

感谢您的反馈,我们会尽快修复!

最新状态:

暂无